13
Domänenzugriff per Vertrauenstellung
Hallo,
wir haben in der Firma zwei Domänen, die unabhängig arbeiten und verwaltet werden und über eine Vertrauensstellung (beidseitig) verbunden sind.
Ab und zu muss sich ein Mitarbeiter der ersten Domäne ("Domäne-A") sich an der zweiten anmelden, und nutzt dann die Anmeldung via Domäne-A\Name , was auch klappt. Er kann auch auf die Freigaben der ersten Domäne zugreifen, allerdings klappt nicht das Anmelde-Skript, was wir im Profil (der ersten Domäne) hinterlegt haben. Es wird schlicht ignoriert und nicht ausgeführt.
Hat jemand vielleicht einen Tipp, wo ich hier ansetzen könnte?
Gruß
wir haben in der Firma zwei Domänen, die unabhängig arbeiten und verwaltet werden und über eine Vertrauensstellung (beidseitig) verbunden sind.
Ab und zu muss sich ein Mitarbeiter der ersten Domäne ("Domäne-A") sich an der zweiten anmelden, und nutzt dann die Anmeldung via Domäne-A\Name , was auch klappt. Er kann auch auf die Freigaben der ersten Domäne zugreifen, allerdings klappt nicht das Anmelde-Skript, was wir im Profil (der ersten Domäne) hinterlegt haben. Es wird schlicht ignoriert und nicht ausgeführt.
Hat jemand vielleicht einen Tipp, wo ich hier ansetzen könnte?
Gruß
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 2253897597
Url: https://administrator.de/contentid/2253897597
Ausgedruckt am: 21.11.2024 um 23:11 Uhr
13 Kommentare
Neuester Kommentar
Hallo,
Was sagt das Ereignissprotokoll vom Server/DC/Client?
Für was genau ist deine Vertrauensstellung? Auch für Anmelde-Skripts?
Mal aus nicht MS sicht dargelegt.
https://www.ibm.com/docs/de/db2/11.5?topic=windows-trust-relationships-b ...
https://www.edv-lehrgang.de/vertrauensstellung/
https://www.ip-insider.de/10-tipps-fuer-vertrauensstellungen-in-active-d ...
https://www.datacenter-insider.de/vertrauensstellungen-in-windows-domaen ...
https://www.privalnetworx.de/ad-trust-einrichten
https://www.connect-professional.de/security/vertrauensstellungen-verste ...
Gruß,
Peter
Zitat von @griffin:
Ab und zu muss sich ein Mitarbeiter der ersten Domäne ("Domäne-A") sich an der zweiten anmelden, und nutzt dann die Anmeldung via Domäne-A\Name , was auch klappt. Er kann auch auf die Freigaben der ersten Domäne zugreifen, allerdings klappt nicht das Anmelde-Skript, was wir im Profil (der ersten Domäne) hinterlegt haben. Es wird schlicht ignoriert und nicht ausgeführt.
Der Mitarbeiter ist mitglied welcher Domäne?Ab und zu muss sich ein Mitarbeiter der ersten Domäne ("Domäne-A") sich an der zweiten anmelden, und nutzt dann die Anmeldung via Domäne-A\Name , was auch klappt. Er kann auch auf die Freigaben der ersten Domäne zugreifen, allerdings klappt nicht das Anmelde-Skript, was wir im Profil (der ersten Domäne) hinterlegt haben. Es wird schlicht ignoriert und nicht ausgeführt.
Was sagt das Ereignissprotokoll vom Server/DC/Client?
Für was genau ist deine Vertrauensstellung? Auch für Anmelde-Skripts?
Mal aus nicht MS sicht dargelegt.
https://www.ibm.com/docs/de/db2/11.5?topic=windows-trust-relationships-b ...
https://www.edv-lehrgang.de/vertrauensstellung/
https://www.ip-insider.de/10-tipps-fuer-vertrauensstellungen-in-active-d ...
https://www.datacenter-insider.de/vertrauensstellungen-in-windows-domaen ...
https://www.privalnetworx.de/ad-trust-einrichten
https://www.connect-professional.de/security/vertrauensstellungen-verste ...
Gruß,
Peter
Hi,
der Mitarbeiter ist Mitglied der Domäne-A , und meldet sich an Domäne-B als Domäne-A\Name an.
Die Vertrauensstellung ist beidseitig.
In den Protokollen bin ich nicht wirklich fündig geworden.
lese aber gerade deinen Post von vor einiger Zeit
Netzlaufwerk verbinden: Domänenübergreifend: Vertrauensstellung: Logonscript
wie könnte ich die Anmelde-Skripte denn zum ausführen bringen bzw. in eine Vertrauensstellung kriegen?
(wie gesagt, manuell das Skript aufrufen klappt)
oder geht das nur via GPO?
Gruß
der Mitarbeiter ist Mitglied der Domäne-A , und meldet sich an Domäne-B als Domäne-A\Name an.
Die Vertrauensstellung ist beidseitig.
In den Protokollen bin ich nicht wirklich fündig geworden.
lese aber gerade deinen Post von vor einiger Zeit
Netzlaufwerk verbinden: Domänenübergreifend: Vertrauensstellung: Logonscript
wie könnte ich die Anmelde-Skripte denn zum ausführen bringen bzw. in eine Vertrauensstellung kriegen?
(wie gesagt, manuell das Skript aufrufen klappt)
oder geht das nur via GPO?
Gruß
Hallo,
Kann ein Domänenfremder sich an eine Domäne Anmelden auch wenn er Mitglied einer anderen Domäne ist? Ja
Wie/Wo/Berechtigung usw.
Gruß,
Peter
Zitat von @griffin:
der Mitarbeiter ist Mitglied der Domäne-A , und meldet sich an Domäne-B als Domäne-A\Name an.
Dann meldet er sich ja direkt am DC der Domäne A an (Domäne A\Anmeldename). Das hat nix mit Vertrauensstellung zu tun, und dann ist betreffende Benutzer auch noch Mitglied der Domäne A.der Mitarbeiter ist Mitglied der Domäne-A , und meldet sich an Domäne-B als Domäne-A\Name an.
wie könnte ich die Anmelde-Skripte denn zum ausführen bringen bzw. in eine Vertrauensstellung kriegen?
In welcher Domäne ist denn das Anmelde-Skript. Oben wird ja ausdrücklich nur Domäne A genutzt.Kann ein Domänenfremder sich an eine Domäne Anmelden auch wenn er Mitglied einer anderen Domäne ist? Ja
(wie gesagt, manuell das Skript aufrufen klappt)
Erzähl mehr zu deinen Skript.Wie/Wo/Berechtigung usw.
oder geht das nur via GPO?
Ja und Nein.Gruß,
Peter
Hi,
die Skripte liegen im Netlogon Verzeichnis der Domäne-A, es ist eine einfache .bat Datei die UNC Pfade auf ein Laufwerk mappt. In der Userverwaltung der Domäne-A ist es als "skript.bat" ohne weitere Pfade hinterlegt und wird an einem PC in der Domäne-A auch ausgeführt wie es soll.
In der Domäne-B ist das Skript sichtbar und ausführbar via \\domäne-a\netlogon\skript.bat
individuelle Berechtigungen hab ich am Netlogon Verzeichnis (Freigabe) nicht vorgenommen
Gruß
die Skripte liegen im Netlogon Verzeichnis der Domäne-A, es ist eine einfache .bat Datei die UNC Pfade auf ein Laufwerk mappt. In der Userverwaltung der Domäne-A ist es als "skript.bat" ohne weitere Pfade hinterlegt und wird an einem PC in der Domäne-A auch ausgeführt wie es soll.
In der Domäne-B ist das Skript sichtbar und ausführbar via \\domäne-a\netlogon\skript.bat
individuelle Berechtigungen hab ich am Netlogon Verzeichnis (Freigabe) nicht vorgenommen
Gruß
Moin,
Gruß,
Dani
In der Domäne-B ist das Skript sichtbar und ausführbar via \\domäne-a\netlogon\skript.bat
da wird nicht funktionieren, da das Feld den relativen (nicht den absoluten Pfad zum Skript enthalten muss. Nachzulesen wie immer bei Microsoft: How to assign a logon script to a user's profile.Gruß,
Dani
Zitat von @griffin:
Hi,
die Skripte liegen im Netlogon Verzeichnis der Domäne-A, es ist eine einfache .bat Datei die UNC Pfade auf ein Laufwerk mappt. In der Userverwaltung der Domäne-A ist es als "skript.bat" ohne weitere Pfade hinterlegt und wird an einem PC in der Domäne-A auch ausgeführt wie es soll.
In der Domäne-B ist das Skript sichtbar und ausführbar via \\domäne-a\netlogon\skript.bat
individuelle Berechtigungen hab ich am Netlogon Verzeichnis (Freigabe) nicht vorgenommen
Gruß
Hi,
die Skripte liegen im Netlogon Verzeichnis der Domäne-A, es ist eine einfache .bat Datei die UNC Pfade auf ein Laufwerk mappt. In der Userverwaltung der Domäne-A ist es als "skript.bat" ohne weitere Pfade hinterlegt und wird an einem PC in der Domäne-A auch ausgeführt wie es soll.
In der Domäne-B ist das Skript sichtbar und ausführbar via \\domäne-a\netlogon\skript.bat
individuelle Berechtigungen hab ich am Netlogon Verzeichnis (Freigabe) nicht vorgenommen
Gruß
Warum mappst du die Laufwerke nicht per Gruppenrichtlinie?
Hi,
das ist höchstwahrscheinlich ein Problem mit der Namensauflösung von NetBIOS-Namen.
Sorge mal dafür, dass der Computer von B, an welchem die Anmeldung mit einem Konto von A erfolgt, auch NetBIOS-Namen des Domäne A auflösen kann. (Hier konkret die NetBIOS-Namen der DC's von A) (siehe alternative DNS-Suffixe für NetzBIOS-Namensauflösung)
Und dass natürlich NetBIOS überhaupt aktiviert ist am Computer, wo die Anmeldung erfolgt.
E.
das ist höchstwahrscheinlich ein Problem mit der Namensauflösung von NetBIOS-Namen.
Sorge mal dafür, dass der Computer von B, an welchem die Anmeldung mit einem Konto von A erfolgt, auch NetBIOS-Namen des Domäne A auflösen kann. (Hier konkret die NetBIOS-Namen der DC's von A) (siehe alternative DNS-Suffixe für NetzBIOS-Namensauflösung)
Und dass natürlich NetBIOS überhaupt aktiviert ist am Computer, wo die Anmeldung erfolgt.
E.
Moin,
OK
Nein, muss er nicht. Der Witz einer Vertrauensstellung ist ja gerade, dass dem User der Domain-A in der Domain-B vertraut wird und er so entsprechende Mitgliedschaften in universellen Gruppen und Zuweisung der notwendigen Rechte an diese Gruppen (nie direkt, sondern immer nested) Zugriff auf die Ressourcen der Domain-B erhält. Ein Nutzerkonto in der Domain-B ist nicht notwendig.
Er hat also ein Konto in der Domain-A. Sonst könnte er sich nicht gegen diese Domain anmelden.
Natürlich ist das so. Wenn er sich gegen die Domain-A anmeldet, werden die Skripte der Domain-B nicht ausgeführt.
Nutze die Vertrauensstellung richtig. Guckst Du hier:
https://www.techtarget.com/searchwindowsserver/tip/Active-Directory-nest ...
hth
Erik
Zitat von @griffin:
wir haben in der Firma zwei Domänen, die unabhängig arbeiten und verwaltet werden und über eine Vertrauensstellung (beidseitig) verbunden sind.
wir haben in der Firma zwei Domänen, die unabhängig arbeiten und verwaltet werden und über eine Vertrauensstellung (beidseitig) verbunden sind.
OK
Ab und zu muss sich ein Mitarbeiter der ersten Domäne ("Domäne-A") sich an der zweiten anmelden,
Nein, muss er nicht. Der Witz einer Vertrauensstellung ist ja gerade, dass dem User der Domain-A in der Domain-B vertraut wird und er so entsprechende Mitgliedschaften in universellen Gruppen und Zuweisung der notwendigen Rechte an diese Gruppen (nie direkt, sondern immer nested) Zugriff auf die Ressourcen der Domain-B erhält. Ein Nutzerkonto in der Domain-B ist nicht notwendig.
und nutzt dann die Anmeldung via Domäne-A\Name , was auch klappt.
Er hat also ein Konto in der Domain-A. Sonst könnte er sich nicht gegen diese Domain anmelden.
Er kann auch auf die Freigaben der ersten Domäne zugreifen, allerdings klappt nicht das Anmelde-Skript, was wir im Profil (der ersten Domäne) hinterlegt haben. Es wird schlicht ignoriert und nicht ausgeführt.
Natürlich ist das so. Wenn er sich gegen die Domain-A anmeldet, werden die Skripte der Domain-B nicht ausgeführt.
Hat jemand vielleicht einen Tipp, wo ich hier ansetzen könnte?
Nutze die Vertrauensstellung richtig. Guckst Du hier:
https://www.techtarget.com/searchwindowsserver/tip/Active-Directory-nest ...
hth
Erik
Zitat von @erikro:
Natürlich ist das so. Wenn er sich gegen die Domain-A anmeldet, werden die Skripte der Domain-B nicht ausgeführt.
Das wird ja auch gar nicht erwartet. @griffin erwartet, dass die von A ausgeführt werden.Natürlich ist das so. Wenn er sich gegen die Domain-A anmeldet, werden die Skripte der Domain-B nicht ausgeführt.
Nein, muss er nicht. Der Witz einer Vertrauensstellung ist ja gerade, dass dem User der Domain-A ....
Doch, es kann absolut sein, dass das notwendig ist. Wenn sich ein A-Benutzer anmelden muss, aber nur ein B-Computer verfügbar ist, dann ist das genau dieses Szenario.Zitat von @emeriks:
Zitat von @erikro:
Nein, muss er nicht. Der Witz einer Vertrauensstellung ist ja gerade, dass dem User der Domain-A ....
Doch, es kann absolut sein, dass das notwendig ist. Wenn sich ein A-Benutzer anmelden muss, aber nur ein B-Computer verfügbar ist, dann ist das genau dieses Szenario.Nein, muss er nicht. Der Witz einer Vertrauensstellung ist ja gerade, dass dem User der Domain-A ....
Ach so meint der TO das. Das hat er dann aber ein wenig verwirrend ausgedrückt:
Ab und zu muss sich ein Mitarbeiter der ersten Domäne ("Domäne-A") sich an der zweiten anmelden, und nutzt dann die Anmeldung via Domäne-A\Name , was auch klappt.
(fett von mir)Er meldet sich ja gar nicht bei der zweiten an, sondern bei der ersten.
@erikro
Ja, stimmt. Wörter ...
Ja, stimmt. Wörter ...
